NilsK

Moin, ohne nähere Details zu kennen, klingt das für mich nach einem Konstrukt, von dem ich dringendst abrate. Skripte, die irgendwer automatisch ausführt, müssen auf streng abgesicherten Pfaden liegen. Umso mehr, wenn es Startup-Skripte sind, denn die führt ein Rechner als "System" aus, was die höchste mögliche Berechtigungsstufe ist. Ein Skript, das an einem unsicheren Ort liegt, kann einfach mal so manipuliert werden, und schwupps ist das Netzwerk im Eimer. Und das ist dann auch schon der einzige sinnvolle Weg zur Lösung: Verfrachte die Skripte auf einen Windows-Dateiserver, der Mitglied derselben Domäne ist. Lege die Freigabe dort so an, dass die gewünschten Rechner Und/oder User Leserechte haben. Entferne Schreibrechte für alle, die die Skripte nicht ändern dürfen. Gruß, Nils

Moin, woran man mal wieder sehr schön sieht, dass man lieber sein Problem beschreiben sollte als seinen Lösungsweg ... Gruß, Nils

Moin, hm, warum drehen wir uns hier so lang im Kreis? Anscheinend ist einfach eure Art der Auswertung unpassend. Gruß, Nils

Moin, ich rate mal: Das ist keine Windows-Freigabe. Gruß, Nils

Moin, ich bin kein RDS-Spezi, aber Igel kann seit ca. 2010 mit RemoteApps umgehen. Wenn ich nicht falsch liege, ist dazu ein Modus auf dem Thin Client umzustellen, wo man dann die Daten der gewünschten RemoteApps einträgt. Gruß, Nils

Moin, stell dem User nicht den Desktop zur Verfügung, sondern nur das eine Programm als RemoteApp. Und sichere alle Dateibereiche, an die der User nicht ransoll, ausdrücklich mit Berechtigungen ab. Gruß, Nils

Moin, ja, aber 200 Standard Editions habt ihr in eurer Lizenzübersicht ja sicher auch nicht stehen. Gruß, Nils PS. ich meine mich zu erinnern, dass die VMs in so einem Szenario sogar mit Datacenter installiert werden müssen und man nur einzelne VMs stattdessen mit Standard installieren darf. Finde ich aber gerade keinen Beleg - ist auch schwierig, das zu suchen. Kann also auch ein Irrtum oder schlicht überholt sein. Falsch ist die Auswahl von Datacenter jedenfalls definitiv nicht.

Moin, ja, aber ... Diese GPMC-Beispielskripte fallen schnell auf die Nase, wenn man Sonderzeichen irgendwo verwendet. (Und bevor jemand sagt "das tut man ja auch nicht" - nützt nix, denn in Kundenumgebungen hat man das nicht in der Hand. Und: Es reicht schon ein Komma im Objektnamen, was in Deutschland als "Kaczenski, Nils" sehr üblich ist.) [Active-Directory-Double als Testumgebung | faq-o-matic.net] https://www.faq-o-matic.net/2006/12/17/active-directory-double-als-testumgebung/ Daher habe ich selbst mal eine Alternative gebaut: [Domänen-Double für Testzwecke | faq-o-matic.net] https://www.faq-o-matic.net/2016/05/02/domnen-double-fr-testzwecke/ Gruß, Nils

Moin, schau dir mal BETWEEN ... AND an. Gruß, Nils

Moin, man kann "in Azure" praktisch beliebige virtuelle Maschinen betreiben, also auch einen DC. Ob das Sinn ergibt, steht auf einem anderen Blatt. Und die Frage nach den Optionen richtet sich nach den Anforderungen - da fangen wir gerade an, uns im Kreis zu bewegen. Gruß, Nils

Moin, das glaube ich eigentlich nicht, aber wenn es erst mal läuft, ist ja okay. Man übertrage diesen Ansatz aber nicht auf andere Umgebungen. Gruß, Nils

Moin, nein, das heißt, dass du deine vorhandenen Zertifikate weiterhin hast, so wie früher auch. Sie sind nur halt veraltet. Du kannst neue nach dem jeweils gültigen Stand des Programms machen. Für manche "großen" Zertifizierungen gibt es "Abkürzungen", wenn man ein Vorgängerzertifikat hat, für andere nicht. Das war aber vor 15 Jahren auch nicht anders. Zwischendurch gab es z.B. den MCSE nicht mehr, dann wurde die Abkürzung mit neuer Bedeutung wieder eingeführt. Dafür gibt es heute den MCITP nicht mehr, den es zwischendurch gab. Und "der MCP" hat eigentlich auch schon irgendwann in den Nullerjahren seine frühere Relevanz verloren, weil es daneben immer auch andere Programme gab. Gruß, Nils

Moin, man darf das so verstehen, dass Microsoft den Namen "MCP" nach über 20 Jahren abschafft und die Zertifizierungen näher an den Erfordernissen des Marktes und der aktuellen Technik ausrichtet. Eine 1:1-Aktualisierung bestehender Zertifikate hat es immer nur punktuell gegeben. Wer über längere Zeit zertififziert bleiben wollte, musste auch bisher schon ein paar Wechsel der Ausrichtung mitmachen. Gruß, Nils

Moin, das kann man auf unterschiedliche Arten machen - eine Frage des Konzepts. In einem Forum kaum sinnvoll zu beleuchten. Die Frage, ob man lokal eine Domäne braucht, hängt natürlich von den detaillierten Anforderungen ab. Die wirst du wohl kaum hier posten, wenn es um einen Kunden geht. (Hoffe ich.) "Cloud" heißt hier gar nicht Cloud, sondern RZ, richtig? Option 1 wäre denkbar, Option 2 klingt unsinnig, Option 3 erschließt sich mir nicht (welchen Vorteil soll ein RODC bringen, wenn du dafür sowieso netzwerkseitig alles einrichten musst, was das AD braucht?) und bei Option 4 ist mir unklar, was das "Stichwort" soll. Gruß, Nils

Moin, ein nicht ganz fernliegender Gedanke wäre, dass die Leiste defekt ist. Auch wenn du das verbal ausgeschlossen hast. Gruß, Nils

Moin, das AD hat eine eingebaute Priorisierung über das Standort-Konzept. Wenn die Standorte korrekt definiert und die jeweiligen Subnets korrekt zugeordnet sind, funktioniert das ganz wunderbar. Von irgendwelchen sonstigen Basteleien ist dringend abzuraten. Im gegebenen Szenario mit zwei Domains, die einander vertrauen (nehme ich an) müssen die Standorte in beiden Domänen dieselben Namen tragen. Gruß, Nils

Moin, es liegt doch überhaupt kein Problem vor. Und das Verhalten ist völlig normal und so, wie es sein soll. Der "1. DC" ist FSMO-Rolleninhaber. Und er weiß, dass es noch einen zweiten DC gibt. Natürlich versucht er beim Neustart, diesen zweiten DC zu erreichen - er weiß ja nicht, wie lange er offline war. Antwortet der andere DC nicht, dann gibt der "1. DC" eine Warnung aus - nota bene, die 2092 ist eine Warnung, kein Fehler. Diese Warnung besagt, dass kein Kontakt zu den Replikationspartnern besteht, sodass der DC nicht prüfen kann, ob ihm vielleicht Daten fehlen. Abhilfe ist im Normalfall einfach: Den Kontakt zu dem anderen DC herstellen - hier, indem man ihn startet. Es könnte ja aber auch sein, dass die Netzwerkverbindung fehlt, dann müsste man diese herstellen. Das kann der "1. DC" in dieser Situation nicht feststellen, daher die Warnung. Gruß, Nils

Moin, wie immer übersehen solche Fragen zwei Dinge: wie soll ein System feststellen, was erlaubt ist und was nicht? wie bringt man die dafür technisch nötige Überwachung in Einklang mit der Rechtslage? Am Ende wird man schnell dazu kommen, dass man "alles" technisch überwachen müsste und das dann jemand auswerten muss, weil man keine ausreichend trennscharfe Systematik dafür findet. Fragen wir doch mal von der anderen Seite her: Was ist denn das Ziel? Gruß, NIls

Moin, nur weil ein Zertifikat vorhanden ist, wird es ja noch lange nicht für einen bestimmten Dienst eingebunden. Und die Kollegen haben Recht: Weder die CA noch irgendein anderer Dienst haben auf einem DC etwas zu suchen. Gruß, Nils

Moin, BGInfo kann eine ganze Menge mehr als die Standardfelder. Es kann auch den Inhalt von Umgebungsvariablen anzeigen oder das Ergebnis eines Skripts. Läuft es also im Kontext des Users und die Variable %clientname% hat den richtigen Inhalt, dann hat man gewonnen. Der Button "Custom ..." unter der Feldliste ist dein Freund. [BGInfo um eigene Datenfelder erweitern | faq-o-matic.net] https://www.faq-o-matic.net/2007/09/05/bginfo-um-eigene-datenfelder-erweitern/ Gruß, Nils

Moin, klar, das machen die schon seit Jahren. Die NFS-Lizenz ist auch eine der teuersten, die sie im Angebot haben ... Gruß, Nils

Moin, wie du merkst, ist das per Forum etwas mühsam. Meine Empfehlung: Hol dir jemanden ins Haus. So wild kann es nicht sein, aber man kann sich das vor Ort im Zusammenhang besser ansehen. Gruß, Nils

Moin, mal langsam. Nur weil ein Teil eines Community-Programms nach über 15 Jahren eingestellt wurde, stellt Microsoft ja noch lange nicht die Technik als solche ein. Microsofts Weg in die Cloud dürfte nach all den Jahren wirklich niemanden mehr überraschen. Man muss sich also auch nicht bei jeder Erwähnung drüber aufregen. "On-prem" passiert nur noch vergleichsweise wenig, aber es funktioniert weiter, wird weiter supportet und es wird auch noch dran entwickelt. Dass das möglicherweise weniger ist als man als Kunde oder Experte möchte, war in Wirklichkeit vor 15 Jahren auch schon so, wenn auch vielleicht auf etwas anderem Niveau. Wer Cloud nicht will, muss ja nicht. Auch mit Microsoft-Produkten. Die eine oder andere Technik mag ein Auslaufmodell sein, aber das ist nach so langer Zeit auch nicht verwunderlich - und es geht auch nicht so schnell, dass einem in absehbarer Zeit ein Ast fehlen würde. Gruß, Nils

Moin, Salbei. Du meinst sicher Salbei. Gruß, Nils

Moin, korrekt, das ist meiner Erinnerung nach auch schon seit Windows 2000 so. Relativ unbekannt, aber Tatsache. Die genannten Umgebungen mit nur einem DC haben halt an der falschen Stelle gespart, wenn sie das so gewichten. Wir betonen ja nicht umsonst hier immer wieder, dass man einen zweiten DC schon für ca. 1000 Euro inkl. Lizenz haben kann. Gruß, Nils